Исследователи из Кембриджского университета, Великобритания, продемонстрировали, как условные “злоумышленники” могут завладеть паролями и PIN-кодами пользователя, взломав встроенный микрофон и камеру смартфона.
Обнаруженный метод заключается в подслушивании нажатий виртуальных кнопок на сенсорном экране, и подглядывании за лицом пользователя, пока он вводит секретную комбинацию.
Система под названием PIN Skimmer может вычислить прикосновения к сенсорному дисплею, просто записывая звук. А с помощью фронтальной камеры, которая снимает во время набора PIN-кода, можно получить видео, сопутствующее вводу пароля или логина.
Если сопоставить кадры из видеоряда, изображающего процесс авторизации пользователя, с касаниями к сенсорному экрану, несложно определить, к какой именно части экрана прикоснулся пользователь.
Камера телефона может "подсмотреть" пароль пользователя
При этом, компонента, который отвечает за обработку изображений, в самом приложении нет – программа запрашивает его с удалённого сервера, чтобы пользователь не заподозрил неладного из-за быстрой разрядки аккумулятора.
Во время испытаний из 50 тестовых 4-значных PIN-кодов система угадала почти треть после пары попыток, и свыше половины – после пяти попыток.
Программа справляется даже с длинными 8-значными паролями, определяя их в 45% случаев за пять попыток.